「今からやらなければ間に合わない」企業課題
PSIRTの重要性に気付いているか？
経営戦略の核心となる「製品セキュリティ」の在るべき姿

自動車や家電、医療機器といった製品のインターネット接続が当たり前になると同時に、これら製品を狙ったサイバー攻撃も増加の一途をたどっている。

製品に搭載されているソフトウェアの脆弱（ぜいじゃく）性対策を含む「製品セキュリティ」にどう対応するか――エンドユーザーの安全を守ることで、競争力やブランド力の向上に直結する製品セキュリティは、今や経営戦略の核心になるといっても過言ではないテーマだ。しかし、製品開発を担う現場とセキュリティ対策を取りまとめる現場にはいまだ分断が目立ち、経営層の理解や関与も十分とは言えない。今、在るべき製品セキュリティの姿と、現実的な推進法とは？　PSIRT（Product Security Incident Response Team）をはじめとする組織的なセキュリティに詳しいソフトウェア協会の萩原健太氏と日立製作所（以下、日立）の檜垣宏行氏の有識者対談から探る。

※以下、敬称略。

今から取り組まないと間に合わない？　製品セキュリティが重要になる理由

檜垣宏行氏（日立製作所 マネージド＆プラットフォームサービス事業部 主任技師）

檜垣：
私はもともと日立で製品開発を担当していました。その経験を生かし、現在は製品セキュリティ向上のコンサルティング業務に携わっています。納品期日が迫る中で多くの脆弱性が検出される――そんな現場の悩みも理解できる立場から、お客さまを支援しています。

萩原：
私もCSIRTやPSIRT構築に取り組んだ経験を基に企業のセキュリティ支援をしていますが、昨今、製品セキュリティの注目度が上がっていることを実感しています。今や、多くの製品がソフトウェアで動いています。プログラムがあれば、製品に特化したPSIRT（製品セキュリティインシデント対応組織）が必要になることは間違いありません。

PSIRTは、ポリシーに基づいて企画や要件定義からメンテナンスまで製品ライフサイクル全体のセキュリティを統括、推進します。情報システムのセキュリティ問題にも言えることですが、特に製品のセキュリティ問題はユーザー全体、さらには社会全体に影響を及ぼす可能性があります。PSIRTは「事業に直結する重要なセキュリティ能力」とも言える存在です。

檜垣：
当社も最近、PSIRT関連のご相談を受けることが増えています。その背景をどう見ていますか。

萩原健太氏（インターバルリンク 代表取締役／一般社団法人 ソフトウェア協会 副会長、
サイバーセキュリティ委員会 委員長）

萩原：
大きな要因は海外の法規制の動向だと思います。米国の大統領令やそれに基づいたNIST（National Institute of Standards and Technology）のSP 800-218(SSDF：Secure Software Development Framework）、欧州のサイバーレジリエンス法（CRA）を見ても、製品セキュリティに取り組まなければグローバルでビジネスを展開できない状況です。

CRAは2026年9月から脆弱性やインシデントの報告義務が、2027年12月から全面的に適用される予定です。それまでに、製品のソフトウェアコンポーネントや依存関係をリスト化して運用体制を整える必要があります。おそらく今からやらなければ間に合わないでしょう。また、2024年9月の日米豪印の協力枠組み（クアッド）合意に基づき、NISTのSSDFに準拠した対応が国内でも求められてくるはずです。

日本でも自動車や家電業界の大手企業は危機感を抱き始めています。ただ、モノづくりは一企業だけでは完結しません。サプライチェーンは3階層、4階層さらに深い階層までソフトウェア開発が関連するため、その隅々まで対応を行き渡らせるのは困難です。高価なSoftware Composition Analysis（SCA）ツールを導入して脆弱性を検出できても、子会社、孫会社などサプライチェ－ン全てにまでそれを適用させるのは難しい。無理にやってもコストに転嫁され、製品価格が跳ね上がってしまいます。全体としてどのように製品セキュリティを担保するかが課題ですね。

セキュアなモノづくりに立ちふさがる課題

檜垣：
製造業の本業は「モノ」を作ることです。従来のインターネットにつながらないモノづくりにおいては、セキュリティはコアから離れている傾向にあります。そのため、設計や品質担当者の業務とPSIRTの取り組みとの間にはギャップが生じやすいんですよね。それが人財の確保や育成を難しくしている部分もあるように思います。

個々の現場で取り組みが始まっていても、全社規模でポリシーやプロセスが確立しているかというと、これまたギャップを感じます。特に海外に多くの拠点を展開している場合、製品セキュリティのガバナンスを強化したくてもプロセスやコミュニケーションに多くの課題を抱えているようです。

萩原：
さらに言えば、セキュアなソフトウェア開発ライフサイクル（SDLC）に関するポリシーが企業にない点も根本的な課題ですね。個々のエンジニアの好みで「このオープンソースソフトウェアを使おう」というやり方ではなく、製品セキュリティ、ひいては製品開発に関する会社としてのポリシーを持ち、根本からセキュアなモノづくりに取り組んでいかなければ現場もPSIRTも疲弊するだけでしょう。

法規制が厳しくなり、海外でビジネスを展開できなくなる恐れがあるため、経営層も製品セキュリティの重要性に気付き始めています。ただ、経営層と現場をつなぐ取り組みが十分ではない。PSIRTを整備し、社内のセキュリティ組織と連携して取り組めている企業は非常に限定的だと思います。

檜垣：
経営層と現場をつなぐという点では、日立も組織間の壁や組織内の縦横の壁という課題は実感しています。PSIRTの取り組みは、実は技術論というよりも組織論かもしれません。

PSIRT Services Frameworkをベースに、伴走しながらゴールを見いだす

萩原：
日立さんはどのようにPSIRTづくりを支援しているのですか？

檜垣：
日立自体がモノづくりをする企業でもあり、OTシステムに関する知見を豊富に持つと同時にITシステムのインテグレーションやセキュリティ事業も提供しています。グローバルに事業を展開し、多様な製品を提供していることも強みです。世界を舞台に、ITとOT製品の融合をリードし、その上でセキュリティの知見を長年培ってきた――この経験を踏まえ、お客さまに適したやり方を提案しています。

私がお客さまとの話で大事にすべきと感じているのは、「組織の定着化」「プロセス」「人財」です。まず経営層とPSIRT、現場の設計者の役割やミッションを明確にして、経営層と現場がきちんとコミュニケーションできるようにPSIRTが橋渡しすることが、定着できる組織づくりには重要です。プロセスも同様です。ガイドラインやルール、体制をつくっても現場がその通りに動くとは限りません。人やシステムを含め、きちんと動くような工夫が必要です。人財の育成や雇用についても計画を立て、場合によっては外部に相談しながら進めるべきです。

こうした取り組みでよく参考にしているのが、萩原さんが日本語訳に携わった「PSIRT Services Framework」です。こういった“教科書”を基に「何を進めるべきか」を体系立てて理解した上で、後は現場がそれを使えるように、確立したモノづくりや品質確保のプロセスにセキュリティを融合させていきます。

萩原：
役立てていただけているならうれしいです。実際のコンサルティングは、どのように進めているのでしょう。

檜垣：
PSIRT Services Frameworkをベースに海外の法規制の動向や品質、運用管理の在り方を踏まえ、カスタマイズを加えながらお客さまに伴走しています。重要なのは、いきなり完璧な製品セキュリティをめざすのではなく、現時点でのゴールをその都度設定して「段階的に強化する」こと。そしてその先に「PDCAを回して改善する」ことです。

製品セキュリティの取り組みは立ち上げて終わりではなく、そこからがスタートです。長期にわたって運用し続けるものですから、システムやアウトソーシングサービスによる支援も提供しています。昨今、深刻化しているセキュリティ人財不足、その上で急務とされている脆弱性管理の効率化を補うツールとして生成AI（人工知能）などの最新テクノロジーを活用し、PSIRTと製品セキュリティ強化を加速していければと考えています。

萩原：
取り組みがうまくいくパターンを挙げるとすれば、どのようなものがありますか？

檜垣：
経営層が「やるぞ」と強くメッセージを発信するケースですね。あるお客さまは、CISOの方が「セキュリティ対策で競合を追い抜き、ブランド価値を高める」というメッセージを強力に発信し、数カ月という短期間でPSIRTを立ち上げました。

萩原：
経営戦略に基づくIT戦略がなければ、PSIRTをつくろうとしてもうまくいかないということですよね。PSIRTはあくまで手段。「会社としてどうなりたいか」を踏まえた上でアプローチするのが適切だと思います。

檜垣：
おっしゃる通り、「取りあえずPSIRTをつくる」では取り組みの広がりが限定されます。私は最初から設計や開発部門、品質部門を巻き込み、話を聞いてもらいつつ進めることが大事だと思います。一度回り始めればPDCAサイクルを通して新たな課題が見え、「こう対策しよう」とお互いに意見が挙がり始めることもあります。

萩原：
そうした中で多くの脆弱性に直面すると、根本にさかのぼって「初めからセキュアに開発しよう」という取り組みが広がりますよね。こうして徐々に品質が高まり製品の安全性が増せば、製品のブランド価値、企業のブランド価値につながっていく。そうした経験をいかに社内や社外と共有するかも大事ですね。

檜垣：
そうですね。自動車や医療、ソフトウェアなどの業界ではISAC（Information Sharing and Analysis Center）が組織されていますが、そうした場でも事例や知見を交換できればと思っています。日立には各産業向けにシステムインテグレーションを行っている部隊があるので、日立内でも経験やノウハウを共有して連携することで、お客さまが壁を越える手助けができると考えています。

分からないことは恥ではない　先駆者の経験を頼りに模索を

萩原：
日本企業は昔から品質管理には長（た）けており、ハードウェアに対するセキュリティ対策にも綿密に取り組んできました。長年培ってきた安全に関するノウハウをソフトウェアの思想に転換すればいいわけですから、ひとたびやると決めたら推進力はあると思います。

ソフトウェアの品質管理で大切だなと感じるのは、「既知の未知」です。知らないことは悪でも恥でもありません。まずは「分からない（未知）」という事実を知り、そこから徐々に段階的に積み重ねることが大切です。セキュリティにゴールはなく、唯一の答えもありません。自社なりの答えを模索していただければと思います。

その際には、自分たちに分からないことが分かる、頼れる人を見つけることが大事です。その意味で、多様な事業を展開し、OTのノウハウを持ち、製品セキュリティに関して多くの実績を積んでいる日立さんの経験は活用すべきだと思います。日立さんにしかない経験やノウハウは、生成AIにも答えられないものでしょう。自社にない経験が得られるのは、不安を抱く顧客にとって大きなことです。経営層や現場とセキュリティチームのハブ役としても、日立さんの存在が成功要因になりそうですね。

檜垣：
ありがとうございます。経営層とPSIRT、それに同じ開発でもマネジャーと現場とでは、めざすところは同じでも観点が異なります。そこも意識しながら支援していきたいと思います。日立としては、テクノロジーのトレンドやビジネスの潮流、地政学的な関係など不確実性の高い時代に合わせたセキュリティの在り方をわれわれ自身も模索しつつ、伴走していきたいと考えています。現在開催中のオンラインセミナーでは、PSIRT構築に役立つ情報や日立のPSIRTの取り組み事例をご紹介しています。ぜひ多くの方にご視聴いただきたいですね。